home *** CD-ROM | disk | FTP | other *** search

---

/ Shareware Overload Trio 2 / Shareware Overload Trio Volume 2 (Chestnut CD-ROM).ISO / dir33 / hr_5199.zip / ENCRYP_S

< prev

Wrap

Text File  |  1994-07-22  |  5KB  |  110 lines

---

1. Subject: EFF Reactions to Encryption Standards & Procedures Act (Draft)
2. -----------------------------------------------------------------------
3.  
4. The staff of the House Science, Space, and Technology Committee has just
5. released a draft bill which would create a somewhat more public process for
6. establishment of Clipper-like escrowed encryption systems.  Entry of the
7. Congress into this policy debate is a welcome change after 18 months of
8. one-sided Executive Branch edicts.  However, considerable changes would be
9. required before the legislation would meet EFF's goals for a truly open
10. federal encryption policy which preserves the right of private individuals
11. to use any form of encryption, without restriction or penalty.  
12.  
13. Despite its promise of an open process, this bill is by no means a
14. repudiation of the Clipper program,  In fact, it enshrines in legislation
15. several key aspects of the Clipper policy.  However, inasmuch as the bill
16. seeks to establish NIST authority to develop escrow encryption systems, it
17. raises real questions about whether NIST or other agencies have any
18. authority now to spend federal funds on escrow encryption systems.
19.  
20.  
21. Overview of the bill:
22.  
23. The bill directs the Department of Commerce, through the National Institute
24. of Standards and Technology, to issue escrowed encryption standards.  The
25. standards issued would be subject to public comment and afford the
26. opportunity for judicial review under the terms of the Administrative
27. Procedures Act.  Similar procedures created for the designation of
28. government key escrow agents.
29.  
30. Several aspects of the Clinton Administration's approach to cryptography
31. policy are accepted by this bill:
32.  
33. 1.      Absolute preservation of law enforcement and national security access
34.  
35. By this bill, any encryption standards adopted must "preserve the
36. functional ability of the government to interpret, in a timely manner,
37. electronic information that has been obtained pursuant to an electronic
38. surveillance permitted by law."  Sec 31(b)(2)(E).
39.  
40. 2.      Weak privacy protection
41.  
42. The bill specifies that standards adopted should advance the development of
43. the NII, but offers only qualified support for privacy.  Standards should
44. are only required to go so far as to not "diminish existing privacy
45. rights...." Sec 31(b)(2)(D).
46.  
47. 3.      Increased role for National Security Agency in civilian privacy and
48. security matters
49.  
50. The bill establishes a permanent role for the National Security Agency in
51. the creation of privacy and security standards for use by the private
52. sector.  Currently, under the Computer Security Act, NIST is encouraged to
53. consult with the NSA on matters of federal systems security and to draw
54. "computer system technical security guidelines developed by the National
55. Security Agency to the extent that the National Bureau of Standards
56. determines that such guidelines are consistent with the requirements for
57. protecting sensitive information in Federal computer systems."  This would
58. explicitly extend the NSA role from federal systems to systems intended for
59. public, civilian use.  As such, this is a major change in the Computer
60. Security Act.
61.  
62.  
63. Issues to be addressed in draft:
64.  
65. To create a truly open policy process, to protect privacy, and to ensure
66. the development of the best privacy-protecting technology possible, the
67. bill should be augmented with the following provisions:
68.  
69. 1.      Voluntary standards
70.  
71. Any legislation on encryption standards must guarantee that no one will be
72. required to use such standards, nor will use of other encryption standards
73. be curtailed by law.  Furthermore, federal encryption policy should
74. guarantee that access to government programs, opportunities, or even the
75. ability to communicate with the government, should never be conditioned on
76. the use of any escrowed encryption standard.  From the first announcement
77. of the Clipper program, the Clinton Administration has assured the public
78. that escrowed encryption would remain voluntary.  This promise must be
79. included in legislation.
80.  
81. 2.      Open design process
82.  
83. The draft bill does call for an open process for formation of encryption
84. standards.  Legislation should make explicit that an open process means
85. that no classified algorithms or technologies may be included.  Though
86. there was public comment on the Escrowed Encryption FIPS (the Clipper
87. Federal Information Processing Standard), public process in that case was
88. meaningless because the core technology remained behind a veil of secrecy.
89.  
90. 3.      Remedies for negligence or abuse by escrow agents
91.  
92. As drafted, the proposal drastically limits the liability of federal escrow
93. agents for all but "willful" abuse by federal employees.  The escrow
94. agents must also be responsible for unauthorized release of keys because of
95. the actions of private individuals or because of negligent practices by
96. government agents.
97.  
98. 4.      Exploration of voluntary, private sector escrow agents
99.  
100. Finally, if the government is going to adopt a government-based escrow
101. system, it should also be required to explore the possibility of private
102. party escrow systems based on open standards.
103.  
104.  
105. The full text of the draft bill is available from EFF's archives:
106.  
107. ftp.eff.org, /pub/EFF/Policy/Crypto/encryp_stds_procedures_94_bill.draft
108. gopher.eff.org, 1/EFF/Policy/Crypto/encryp_stds_procedures_94_bill.draft
109. http://www.eff.org/pub/EFF/Policy/Crypto/encryp_stds_procedures_94_bill.draft
110.